“같은 행동을 반복하고도 다른 결과를 바라는 건 미친 짓”
이상 행동을 감지하려면 먼저 사소하고 평범한 정상 행동을 알아야

[보안뉴스 문가용] 아인슈타인은 생전에 이런 말을 남겼다. “같은 행동을 매번 반복하고도 다른 결과를 바라는 건 미친 짓이다.” 최근 정보보안 업계에는 세계 해커들이 수많은 은행으로부터 엄청난 돈을 훔쳐냈다는 소식 때문에 시끄러웠다. 이 사건에서 얻을 수 있는 교훈은 무엇일까? 우리는 이 사건을 어떻게 바라봐야 할까?





개인적으로 눈에 띄었던 건 해커들의 수법이 느리고 조용한 상태에서 수개월이나 일을 진행했다는 부분이었다. 해킹한 시스템의 리소스도 거의 잡아먹지 않도록 조금씩 느리고 천천히 길게... 이런 방식 때문에 실제 어떤 감지 툴에도 걸리지 않고 목적한 바를 이룰 수 있었던 것이다.

한 번 생각해보라. 은행이 어떤 곳인가? 금융계가 어떤 곳인가? 모든 산업들 중 보안에 있어서는 둘째가라면 서러워할 곳이다. 물리보안이고 정보보안이고 탄탄하기 이를 데 없는 곳이다. 보안에 투자하는 액수만도 천문학적이고 해킹 사고로 돈을 잃는 걸 목숨 잃는 것처럼 여긴다. 그럼에도 해커를 막을 수는 없었다. 그것도 아주 오랜 기간 동안 말이다.
 

현대의 해커들은 평범한 직원들이 날마다 아무렇지도 않게, 생각 없이 무의식적으로 하는, 사사롭고 특별할 것 없는 자잘한 행동들을 물고 늘어지는 법을 익히기 시작했다. 그렇기에 이들이 방화벽이라는 거대한 성 안에서 안전한 생활을 영위한다 하더라도 피싱 공격 한 번으로 성벽을 쉽게 넘을 수 있게 되었다. 합법적인 정상 사용자의 로그인 정보를 탈취해 네트워크를 자유롭게 돌아다니며 멀웨어를 심고 정보에 접근하는 건 해커들이 꿈꾸는 가장 완벽한 형태의 ‘침투’ 아니던가.

그렇기에 사용자들에 대한 교육이 강력하게 떠오르고 있다. 출처가 확실치 않은 곳에 온 이메일은 열지 마세요! 첨부파일은 건드리지도 마세요! 링크도 그냥 지나치세요! 물론 교육이란 사람이 언제고 추구해야 하는 숭고한 목표 중 하나다. 그러나 세상 그 어떤 교수법도 완벽한 사람을 만들어내지는 못한다. 그에 반해 피싱 공격은 아무리 성공 확률이 낮아도 딱 한 번만 통하면 성공이다. 애초에 승산이 없는 확률게임인 것이다.

그런데 성공확률이 높은 쪽에서 장기적인 시도를 마음먹는다면 어떻게 될까? 시간이라는 변수가 길게 개입하면 할수록 애초에 확률이 높은 쪽이 훨씬 더 유리해진다. 게다가 초조할 것도 없다. 단 한 번만 성공하면 되니까 말이다. 그 긴긴 시간 동안 어리버리한 신입 직원이 등장할 수도 있고 새로운 사업 파트너가 네트워크에 불쑥 등장할 수도 있다. 해커는 그저 기다리기만 하면 된다. 그렇다면 교육 외에 더 할 수 있는 일은 무엇일까?

사용자와 애플리케이션, 정보, 시스템, 네트워크의 ‘정상 상태’에 대한 규정을 먼저 해야 한다. 즉 누가 보통 어느 시간 대에 어떤 시스템이나 경로를 통하여 어떤 정보에 접근하는지에 대한 데이터베이스가 필요하다는 것이다. 그래야 이런 규정 외 행동패턴이 발견되었을 때 ‘비정상’으로 간주하고 조치를 취할 수 있다.

하지만 이것만으로는 충분치 못하다. 예를 들어 이제 출근한지 이틀 된 신입사원의 경우는 이런 데이터베이스 마련이 불가능할 것이기 때문이다. 특히 신입사원이 ‘느리고 눈에 안 띄는’ 해킹에 걸려들었다면 애초에 정상 상태 데이터베이스에 기록된 모든 것들이 처음부터 비정상적인 것이었을 확률도 높고 말이다.

그렇다면 스스로의 정상 행동 범위를 규정하는 것을 넘어, 비슷한 직무와 직급을 가진 또 다른 사용자의 행동패턴과 비교해보는 것이 다음 방법이다. 이를 동류집단 분석(peer group analytics)이라고 한다. 이렇게 하면 ‘비정상 행동’이 더 뚜렷하게 드러난다. 따라서 전혀 엉뚱한 해외에서의 로그인이나 갑작스런 대용량 다운로드 등 진짜 비정상에 가까운 행동들에 더 집중할 수 있게 된다. 이번 은행 해킹 사태에 이런 대비가 되어 있었다면 아무리 진짜 직원처럼 해커가 행동했다고 하더라도 돈을 인출해 빼돌리기 위해서는 위치정보가 정상 범위를 한번쯤은 벗어날 수밖에 없으니 피해를 줄일 수 있었는지도 모른다.

사이버 위협과 내부자 위협이 아직도 모호한 경계선 위에 서있다. 해커들은 인간적인 요소들을 겨냥하기 시작했기 때문이고, 이는 보안 관련 툴들이 아직 사람을 넘을 수준이 안 되기 때문이다. 즉 사용자에 따라 그 본연의 기능이 발휘되고 안 되고가 철저하게 갈린다는 것이다. 그러니 이 해커들의 ‘느리고 눈에 안 띄는’ 해킹술이 잘 먹힐 수밖에.

제발 보안에 대한 인식만 가지라는 소리는 이제 아인슈타인에 따르면 ‘미친 짓’이다. 인식을 가지라고 외쳐도 이렇게 똑같은 사건이 지치지도 않고 벌어지는데, 우리의 접근법을 바꾸지 않고 어떻게 다른 결과를 얻을 수 있을까? 뭔가 다른 방법이 필요한 건 아닐까?

해커들이 ‘사람’을 직접 노리기 시작했고, 우리의 로그인 정보는 갖가지 유출사고로 인해 이미 그들 손에 넘어갔을 확률이 높다면 내가 있는 시스템에서는 분명 언제고 비정상적인 현상이 발생할 것은 너무나 자연스러운 결론이다. 그렇다면 위협 첩보를 한데 모아서 분석하듯이 우리가 가진, 우리에 대한 평범한 정보들도 한 번 모아보는 것은 어떨까? 지금, 보안의 르네상스가 필요하다.
글 : 사리우 나이아르(Saryu Nayyar)
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>